Исправление aol, (текущая версия) :
вона, для джавы даже плагинчики есть https://foojay.io/today/how-to-create-sboms-in-java-with-maven-and-gradle/
это вообще нужно
безопасникам
На практике это работает?
зависит от тех же безопасников. используется для «автоматического поиска уязвимостей». Ну, как поиска… Известно, что в такой-то версии либы есть CVE номер такой-то. Ваш билд использует эту версию, а, следовательно, уязвим.
практика доставки
я за «файл в пакете», иначе как инспектировать-то? «не запустишь - не узнаешь»? ;)
вот такая штука еще попалась, пока освежал тему: https://github.com/nexB/scancode-toolkit
Исходная версия aol, :
вона, для джавы даже плагинчики есть https://foojay.io/today/how-to-create-sboms-in-java-with-maven-and-gradle/
это вообще нужно
безопасникам
На практике это работает?
зависит от тех же безопасников. используется для «автоматического поиска уязвимостей». Ну, как поиска… Известно, что в такой-то версии либы есть CVE номер такой-то. Ваш билд использует эту версию, а, следовательно, уязвим.
практика доставки
я за «файл в пакете», иначе как инспектировать-то? «не запустишь - не узнаешь»? ;)